De-Mail: Sicherer Kommunikationsweg oder "Schweizer Käse"?

Die Erkenntnis, dass unverschlüsselte E-Mail- Kommunikation ein massives Sicherheitsrisi­ko darstellt, hat sich mittlerweile allgemein durchgesetzt. Doch bietet die vom Bundes-innenministerium (BMI) favorisierte De-Mail- Plattform tatsächlich eine Alternative?

IT-Initiativen der öffentlichen Verwaltung stoßen hier zu Lande oft auf Ablehnung oder Spott. Diese treffen auch an sich sinnvolle Projekte wie das De-Mail-System, mit dem das BMI und das nachgeordnete Bundesamt für Sicherheit in der Informationstechnik (BSI) einen ge­schützten Kanal für die Kommunikation zwischen Bür­gern, Unternehmen und Behörden schaffen wollten. Über diesen sollten sich Daten „so einfach wie per E-Mail und so sicher wie per Papierpost“ austauschen lassen, um insbesondere den Schriftverkehr mit Finanz-, Arbeits- und Sozialämtern zu vereinfachen und zu beschleunigen. Beim Transport über das Netz werden alle Nachrichten per SSL/TLS verschlüsselt und somit (theoretisch) gegen unbefugte Zugriffe abgeschirmt. Um den Service zu nutzen, müssen In­teressenten lediglich einen speziellen Account bei einem zertifizierten „De-Mail-Diensteanbieter“, kurz DMDA, einrichten und einer Veröffentlichung ihrerDe-Mail-Adresse in dessen Verzeichnisdienst zustim­men – schon steht der sicheren elektronischen Kom­munikation nichts mehr im Weg. Wahlweise können Unternehmen und Bürger diese Adresse auch nur aus­gewählten Behörden mitteilen.

Gegen die Grundidee des BMI, die verschlüsselte E-Mail-Kommunikation samt Aufbau einer geeigneten Infrastruktur zu fördern, lässt sich kaum argumentie­ren. Das gilt erst recht nach einem Blick auf die zu­sätzlichen Sicherheitsfunktionen: Laut Angaben der Bundesbeauftragten für Informationstechnik und Innenstaatssekretärin Cornelia Rogall-Grothe er­möglicht das De-Mail-System sowohl die zweifelsfreie Identifikation von Empfängern und Adressaten als auch einen ebenso zweifelsfreien Nachweis über Ver­sand und Eingang einer Nachricht. Damit könnte das System allen grundlegenden Anforderungen an eine rechtssichere Kommunikation per Mail genügen. Auch damit würde ein Wunsch erfüllt, den viele Bürger und Unternehmen schon lange hegen.

In seiner derzeitigen Form erntet das De-Mail-System indes vor allem Kritik. Die kommt längst nicht nur von den üblichen Verdächtigen, sondern vor allem von den potenziellen Kunden selbst. Zwei Jahre nach Einfüh­rung des Dienstes hält sich die Nutzerzahl nach wie vor in engen Grenzen. Hauptursachen dafür sind einerseits technische Schwächen des Konzepts und andererseits die durch De-Mail entstehenden Kosten: • Sicherheits- und Rechtsexperten bemängeln eine deutliche Lücke in den Verschlüsselungsoptionen. In den Standardeinstellungen ist lediglich die Punkt-zu-Punkt-Verschlüsselung zwischen Anwendern und DMDA vorgesehen. Im Klartext bedeutet dies, dass eine De-Mail zwar bei der Übermittlung vom Absender zum Provider und vom Provider zum Empfänger verschlüsselt wird. Beim DMDA liegen die Informationen jedoch kurzfristig im Klartext vor, ehe sie verschlüsselt gespeichert werden. Die­se Regelung soll eine Prüfung der Nachrichten auf Schadsoftware ermöglichen, widerspricht aber den Anforderungen, die etwa Steuerzahler oder Kinder­geldempfänger an die vertrauliche Kommunikation mit Behörden haben. Zwar lässt sich eine lückenlose Ende-zu-Ende-Verschlüsselung erzwingen. Voraus­setzung dafür ist jedoch, dass der Absender die Nachricht auf dem eigenen Rechner verschlüsselt, über ein Gateway ins De-Mail-System einspeist und seinen öffentlichen Schlüssel über den DMDA zu­gänglich macht. Für Behörden sowie für Firmen mit ausreichender IT-Kompetenz dürfte dies unproble­matisch sein, nicht jedoch für Privatanwender und KMU. Der Datenschutzbeauftragte Peter Schaar hat die De-Mail-Anbieter daher aufgefordert, „leicht handhabbare Verschlüsselungsoptionen“ für tech­nisch weniger beschlagene User zu entwickeln. Das BMI jedoch reagierte auf die anhaltende Kritik, in­dem es die Lücke einfach wegdefinierte: Mit dem am 18. April verabschiedeten „Gesetz zur Förde­rung der elektronischen Verwaltung sowie zur Än­derung weiterer Vorschriften“ wird der bisher in der Abgabenordnung bzw. im Sozialgesetzbuch ver­ankerte Schutz aufgeweicht und die automatische Entschlüsselung von Steuer- und Sozialdaten als unproblematisch eingestuft. Dass die Betroffenen diese Sicht des Ministeriums teilen, darf bezweifelt werden. Ein weiterer wichtiger Kritikpunkt ist, dass die De.Mail-Nutzung kostenpflichtig ist. Zwar bieten die zertifizierten DMDA - nach derzeitigem Stand vier Firmen, darunter der Platzhirsch Deutsche Telekom und United Internet - mehrheitlich kostenfreie Basispakete an. Doch diese umfassen im besten Fall die Einrichtung des DE-Mail-Kontos und den Versand von maximal zehn Mails. Ab der elften wird ein Porto in Höhe von 39 Cent fällig; für weitere Zustelloptionen wie den Versand per elektronischem Einschreiben oder die persönliche Übermittlung verlangen die Anbieter Zusatzgebühren. Noch ungünstiger sind die Vorgaben für Geschäftskunden. So erhalten Abnehmer des "Business De-Mail Basic"-Pakets der Telekom ein Inklusivkontingent von drei (!) Mails; alle weiteren schlagen mit 33 Cent zu Buche. Intensivnutzer, die 1000 De-Mails und mehr im Monat versenden, entrichten einen Basispreis von 269 Euro sowie 30 Cent ab der 1001. Mail. Hard- oder softwarebasierte Gateway-Lösungen sind noch teurer. Für Anwender, die bereits eigene Verschlüsselungslösungen realisiert haben und ihre abgesicherten Mails weiterhin portofrei versenden, rechnet sich der Umstieg sicher nicht.

Fazit: Die Grundidee hinter De-Mail ist nach wie vor gut, ihre Umsetzung aber kann man bisher nur als miss­glückt bezeichnen. Zwar ist der Dienst kein löchriger Schweizer Käse, aber aufgrund der kurzfristigen Ent­schlüsselung beim DMDA bietet er dennoch nur einge­schränkten Schutz. Und gerade netzaffine Anwender dürfte abschrecken, dass sie ausgerechnet bei der sensiblen Behördenkommunikation auf Sicherheits­standards verzichten müssen, die beim vertraulichen Datenaustausch zwischen Unternehmen und ihren Geschäftspartnern längst üblich sind – und dafür auch noch bezahlen sollen.

Zurück